瑞士工程學(xué)院的研究人員發(fā)現(xiàn)了一個(gè)新的漏洞，非接觸式卡密碼可以被輕松繞過。該漏洞的關(guān)鍵之處在于，如果利用得當(dāng)，盜賊可以使用被入侵的卡進(jìn)行非接觸式支付，而無需輸入密碼來完成交易。

要實(shí)現(xiàn)上述做法，需要首先在兩部Android智能手機(jī)上安裝專用軟件。一個(gè)設(shè)備用于模擬正在安裝的銷售點(diǎn)終端，而另一個(gè)則作為一個(gè)卡片模擬器，允許將修改后的交易信息傳輸?shù)秸嬲匿N售點(diǎn)設(shè)備。一旦卡片啟動交易，它就會泄露所有相關(guān)信息。

蘇黎世聯(lián)邦理工學(xué)院的專家證實(shí)，這是一次孤立的攻擊，但隨著非接觸式支付方式的更多漏洞被揭開，這很容易在現(xiàn)實(shí)生活中被利用。過去，同一個(gè)團(tuán)隊(duì)成功地繞過了非接觸式支付密碼，研究人員在"標(biāo)準(zhǔn)：破解、修復(fù)、驗(yàn)證"研究論文中詳細(xì)描述了這一實(shí)驗(yàn)。

目前的實(shí)驗(yàn)集中在非接觸式協(xié)議使用的卡上的PIN繞過，但使用的都是相同的策略和已知的漏洞。該團(tuán)隊(duì)能夠攔截非接觸式規(guī)范，并將交易方面轉(zhuǎn)移到一個(gè)真正的銷售點(diǎn)終端，該終端并不知道交易憑據(jù)的來源，直接驗(yàn)證并確認(rèn)了PIN和購卡者的身份，因此也不需要進(jìn)行進(jìn)一步的檢查和身份鑒別流程。

同樣是ETC都成功地進(jìn)行了實(shí)驗(yàn)，這并不是數(shù)以百萬計(jì)的非接觸式卡用戶所希望聽到的。由于這個(gè)漏洞的嚴(yán)重性及其潛在的后果難以估量，研究人員沒有透露所使用的應(yīng)用程序的名稱。